Фильтрация и контроль ИИ-сервисов: ChatGPT, Copilot, Gemini

Сотрудники используют ChatGPT, Copilot и Gemini в рабочих задачах — часто без ведома ИБ-службы и без каких-либо корпоративных правил. Вместе с удобством приходят риски: конфиденциальные данные уходят во внешние сервисы, а в ответах могут возвращаться вредоносные файлы и поддельные страницы. Рассказываем, почему тотальный запрет нейросетей не работает, что именно нужно контролировать в ИИ-трафике и как Solar webProxySolar webProxy — SWG-система для контроля обращений сотрудников к ИИ-сервисам: инспектирует HTTPS-трафик, блокирует утечки данных и фильтрует вредоносные ответы нейросетей. помогает выстроить управляемую и безопасную работу с ИИ-сервисами.

Почему генеративный ИИ стал риском для бизнеса

Проблема не в самих нейросетях — они действительно помогают работать быстрее. Проблема в том, что большинство компаний не контролируют, как именно сотрудники ими пользуются. По данным исследования ГК «Солар», около 46% конфиденциальных файлов и промптов сотрудники загружают через ChatGPT, а 60% организаций не имеют никаких AI-governance-политик. Это означает одно: ИИ-сервисы стали каналом утечек, который компания попросту не видит.

Риски работают в двух направлениях. Изнутри — сотрудник загружает в публичный ИИ внутренний отчет, фрагмент исходного кода, API-токены, клиентскую переписку или тендерную документацию, не задумываясь о последствиях. Снаружи — злоумышленники используют генеративный ИИ, чтобы делать фишинговые письма убедительнее, создавать страницы-клоны популярных нейросервисов и встраивать вредоносные скрипты в ответы моделей.

При этом у ИБ-службы может не быть инструмента, чтобы ответить на базовые вопросы: кто из сотрудников и в какой сервис обращается, какие данные туда уходят, что возвращается в ответах. Без этого каждый инцидент обнаруживается постфактум — и требует ручного расследования. Нагрузка на ИБ-подразделение растет, а управляемости не прибавляется. Между тем предотвращение утечек через ИИ-сервисы требует системного контроля, а не ручных расследований постфактум.

Почему простой запрет нейросетей не решает проблему

Заблокировать ChatGPT на уровне домена — технически несложно. Но на практике это мало что меняет: сотрудники переходят на личные устройства, мобильный интернет или находят альтернативные сервисы. Инструмент, который реально помогает в работе, люди не перестают использовать — они просто начинают делать это в обход корпоративной сети, полностью выпадая из любого контроля. Контроль ChatGPT через политики доступа дает принципиально другой результат, чем блокировка домена.

Полная блокировка создает и другую проблему: она бьет по тем, кто использует ИИ легитимно. Разработчик, маркетолог, аналитик — все они получают реальную пользу от нейросетей в повседневных задачах. Запрет без разбора замедляет процессы и вызывает сопротивление, а не дисциплину.

Бизнесу нужна не блокировка, а управляемый сценарий: одни сервисы разрешить, в других ограничить отдельные действия, третьи запретить полностью. При этом все обращения должны логироваться, а инциденты — расследоваться. Именно такая модель «разрешить/ограничить/запретить» позволяет сохранить доступ к полезным инструментам и одновременно держать риски под контролем.

Что именно компания должна контролировать при работе с ИИ

Контроль ИИ-сервисов — это не только ограничение доступа к сайту. Даже если компания разрешила работать с ChatGPT или Copilot, это не означает, что любые действия внутри этих сервисов допустимы. Полноценный контроль использования ИИ в компании охватывает несколько уровней:

Доступ к ИИ-сервисам по категориям — кто, когда и к каким сервисам обращается: через браузер, API или встроенные интеграции.
Обращения к API нейросетей — не только браузерный трафик, но и программные вызовы от приложений и скриптов.
Текст исходящих запросов — что именно сотрудник отправляет в сервис, нет ли в запросах признаков конфиденциальной информации.
Вложения и загружаемые файлы — тип, размер, содержимое файлов, которые прикладываются к промпту.
Заголовки запросов и токены — API-ключи, bearer-токены и другие служебные данные, которые могут утечь вместе с запросом.
Ответы от ИИ-сервисов — вложения, скрипты и ссылки в ответах моделей, которые могут оказаться вредоносными.
Переходы на поддельные AI-ресурсы — фишинговые страницы, маскирующиеся под интерфейсы ChatGPT, Gemini и других сервисов.

Контроль исходящих запросов к ИИ — один из ключевых элементов этой модели: именно на этом уровне данные еще не покинули периметр и их можно остановить.

Возьмите использование ИИ-сервисов под контроль

Покажем, как Solar webProxy помогает видеть обращения к нейросетям, ограничивать опасные сценарии и снижать риск утечек через ChatGPT, Copilot, Gemini и другие сервисы.

Как Solar webProxy распознает ИИ-сервисы

Чтобы контролировать обращения к нейросетям, система должна сначала их распознать — в том числе те, которые появились недавно или работают через нестандартные поддомены и API-эндпоинты. Solar webProxy решает эту задачу через встроенный категоризатор webCAT: категоризация ИИ-ресурсов происходит автоматически и охватывает как браузерный трафик, так и API-вызовы.

Все обращения к ИИ-платформам автоматически определяются по категории «ИИ-ресурсы» в базе webCAT. Это покрывает основные публичные сервисы — OpenAI/ChatGPT, Google Gemini, Microsoft Copilot, Anthropic Claude, Perplexity, DeepSeek, Mistral, GigaChat, YandexGPT — включая их API-интерфейсы. Подход к контролю таких сервисов строится на единых принципах: категоризация, политики доступа, контентный анализ, контроль файлов и журналирование. Конкретная глубина контроля зависит от сценария использования сервиса и настроек политики. Новые нейросервисы попадают в базу по мере появления, сценарии контроля обновляются регулярно, поэтому защита не отстает от рынка.

Если компания работает с корпоративной LLM, развернутой внутри периметра, или использует нишевый сервис, которого еще нет в webCAT, администратор может дополнить политику собственными списками доменов и URL. Это позволяет охватить любые ИИ-инструменты — как внешние публичные, так и внутренние корпоративные — и применять к ним те же правила фильтрации и логирования.

Контроль исходящих обращений к ИИ

Когда сотрудник отправляет запрос в ChatGPT или DeepSeek, с точки зрения сети это обычный HTTPS-запрос. Без специализированного инструмента компания не видит ни того, куда именно ушел запрос, ни что внутри. Solar webProxy перехватывает этот трафик — контроль исходящих запросов к ИИ начинается до того, как данные покинут периметр.

Что проверяется	Как работает	Результат
Обращения к нейросетям	Определяет запросы к ИИ-сервисам по категории webCAT и спискам доменов — включая браузерный трафик и прямые вызовы через приложения	Ни одно обращение к LLM не остается за пределами контроля
API-вызовы	Анализирует программные запросы к API нейросетей (например, api.openai.com) наравне с браузерным трафиком	Автоматические интеграции и скрипты попадают под те же политики, что и ручные запросы
Заголовки и тело запроса	Инспектирует HTTP-заголовки на наличие токенов и API-ключей (Authorization: Bearer, X-Api-Key и др.), анализирует тело запроса на паттерны конфиденциальных данных	Анализ тела запросов и служебных заголовков по словарям, ключевым фразам, регулярным выражениям и другим признакам чувствительных данных, заданным в политике
Вложения и файлы	Проверяет MIME-тип, расширение, размер и хеш прикладываемых файлов (docx, xlsx, pdf, csv и др.)	Solar webProxy позволяет ограничивать или запрещать передачу файлов во внешние ИИ-сервисы по типу, расширению, MIME и правилам политики
HTTPS-трафик	При включенной HTTPS-инспекции Solar webProxy позволяет анализировать содержимое HTTPS-трафика и применять к нему политики фильтрации и контроля	Контроль содержимого запросов, а не только доменов назначения
Передача корпоративных данных	Применяет политики по ключевым словам, категориям контента и типам файлов	Блокировка передачи финансовых данных, ПДн, исходного кода и других категорий
Уведомление и логирование	Уведомляет сотрудника при срабатывании политики, фиксирует событие в журнале	ИБ-служба видит, кто, когда и в какой сервис обращался и какое правило сработало

Но контроль исходящего трафика — только половина задачи. Ответы от нейросетей тоже проходят через корпоративную сеть и требуют отдельной проверки: в них могут оказаться вредоносные вложения, исполняемые скрипты или фишинговые страницы под видом легитимного ИИ-сервиса.

Фильтрация входящих ответов от ИИ

Ответ от нейросети — это тоже веб-контент, который проходит через корпоративную сеть. В нем могут оказаться вредоносные вложения, исполняемые скрипты, фишинговые ссылки или служебная информация, которую модель не должна была раскрывать.

Что проверяется	Как работает	Результат
Домены, заголовки и MIME-типы	Проверяет каждый ответ от ИИ-сервиса по домену источника, HTTP-заголовкам и типу содержимого еще до передачи пользователю	Подозрительные ответы отсекаются на границе сети
Вложения и скрипты	Анализирует файлы по MIME-типу, расширению и размеру — офисные документы с макросами (docm, xlsm), исполняемые файлы (exe, ps1, bat), скрипты (js, vbs)	Зараженные и потенциально опасные файлы блокируются до загрузки на устройство
Поддельные AI-страницы	Блокирует фишинговые и подозрительные ресурсы на основе категоризации, фидов угроз, списков доменов и правил доступа	Фишинговые страницы-клоны не доходят до сотрудника
Служебная информация в ответах	Сканирует ответы на наличие внутренних доменов, приватных IP-адресов, токеноподобных строк и конфигурационных данных	Выявление утечек служебной информации через ответы внешних моделей
Реакция системы	Применяет политику: блокировка, пометка события маркером, уведомление администратора, журналирование	Гибкое реагирование — от мониторинга до полной блокировки в зависимости от настроек

Почему для контроля ИИ-трафика недостаточно DNS-фильтрации или одного NGFW

Когда встает вопрос контроля ИИ-сервисов, у многих компаний уже есть DNS-фильтрация или NGFW. Кажется логичным использовать то, что есть. Но оба инструмента решают другие задачи — и для контроля ИИ-трафика у каждого есть принципиальные ограничения.

DNS-фильтрация работает на уровне доменных запросов: она может заблокировать обращение к chat.openai.com целиком, но не видит ничего внутри соединения. Что именно сотрудник отправил в модель, какой файл приложил, что вернулось в ответе — все это остается за пределами ее видимости. Фильтрация ChatGPT через DNS — это либо полный запрет, либо полное разрешение. Никакой гранулярности. NGFW решает широкий круг задач периметровой безопасности, но для гранулярного контроля пользовательского веб- и AI-трафика специализированный SWGSWG — шлюз веб-безопасности, который фильтрует HTTP(S)-трафик, расшифровывает TLS и применяет политики доступа к веб-ресурсам и ИИ-сервисам. обычно дает более удобный и глубокий прикладной контроль.

Специализированная SWG-система заточена именно под HTTP(S)-трафик: фильтрация трафика здесь работает на уровне содержимого, а не только доменов. Она расшифровывает TLS, инспектирует запросы и ответы, применяет гранулярные политики и ведет детальный журнал. Для задач контроля ИИ-трафика это принципиально другой уровень — не «разрешить домен или заблокировать», а возможность управлять сценариями с полной видимостью того, что происходит внутри каждого обращения.

Как Solar webProxy помогает расследовать инциденты и контролировать использование ИИ

Даже если политики настроены правильно, инциденты случаются. Сотрудник нашел обходной путь, сработало исключение, появился новый сервис, который еще не попал в политику. В таких ситуациях скорость реагирования зависит от того, насколько хорошо ИБ-команда видит происходящее.

Solar webProxy позволяет составить детализированную картину обращений к нейросетям в корпоративном веб-канале: кто из сотрудников, в какой сервис, в какое время обращался, какие данные передавал и какой ответ получил. Это не абстрактная статистика по доменам, а детальный журнал событий с привязкой к конкретному пользователю и политике, которая сработала или не сработала.

Когда инцидент все же происходит, ИБ-аналитику не нужно собирать данные по кускам из разных систем. Журнал Solar webProxy содержит все необходимое для расследования: цепочку обращений, содержимое запросов, сработавшие правила, уведомления, которые получал пользователь. Это сокращает время расследования и снижает долю ручной работы.

Параллельно снижается фоновая нагрузка на команду: инциденты фиксируются автоматически, подозрительные события маркируются и попадают в очередь на разбор, а не теряются в общем потоке логов. В результате ИБ-служба тратит меньше времени на рутину и быстрее реагирует на реальные угрозы.

В каких компаниях контроль ИИ особенно актуален

Контроль ИИ-трафика актуален для любой компании, где сотрудники работают с конфиденциальными данными. Особенно остро задача стоит в финансах и страховании, где в промпты могут попадать клиентские данные и условия сделок; в ИТ и разработке, где в нейросети уходит исходный код и архитектура систем; в промышленности и госсекторе, где утечка внутренней документации создает регуляторные риски; в ретейле и телекоме, где объем персональных данных клиентов делает любую неконтролируемую передачу потенциальным нарушением 152-ФЗ.

Генеративный ИИ уже стал частью корпоративного трафика — вне зависимости от того, разрешила это компания или нет. Вопрос больше не в том, использовать ли нейросети, а в том, как выстроить работу с ними так, чтобы не создавать неконтролируемых рисков.

Solar webProxy дает ИБ-команде инструмент, который позволяет не выбирать между «Запретить все» и «Разрешить все». Компания получает фильтрацию ChatGPT, Gemini и других сервисов на уровне содержимого, а не просто по домену.

FAQ

Какие вопросы допустимо задавать ChatGPT в рамках рабочих задач, а какие — нет?

Если вы не готовы раскрыть эту информацию внешнему подрядчику или опубликовать в открытом источнике — её не следует отправлять во внешний ИИ-сервис. Что допустимо: общие методологические вопросы, помощь в формулировке текста, структуры отчёта, анализ обезличенных данных, запросы без указания внутренней инфраструктуры, клиентов, конфиденциальных деталей, абстрактные примеры без реальных идентификаторов.

Что не рекомендуется отправлять: персональные данные сотрудников или клиентов, конфиденциальные сведения о проектах, внутренние документы и отчёты, архитектуру инфраструктуры, IP-адреса, схемы доступа, API-ключи, токены, секреты, переменные окружения, уязвимости, детали ИБ-инцидентов.

Функциональность контроля ИИ-сервисов (фильтрация промптов и ответов LLM) — это отдельный продукт/модуль или часть Solar webProxy? Нужно ли приобретать отдельную лицензию для этой функции, или она доступна в базовой поставке?

Фильтрация запросов (prompts) и ответов ИИ-моделей не является отдельным продуктом и не требует отдельной лицензии. Это штатная функциональность Core-модуля SWG-системы Solar webProxy и доступна всем клиентам, использующим продукт (в рамках лицензирования Core).

Какие требования ФСТЭК России и других регуляторов регулируют использование или блокировку обращений к ИИ-сервисам в Сети?

На сегодняшний день отдельного действующего приказа ФСТЭК России, напрямую регламентирующего использование публичных ИИ-сервисов (ChatGPT, Claude и др.), не существует. Решение о разрешении или ограничении доступа к таким сервисам принимается исходя из общих требований по защите информации и применимых к организации нормативных актов.

Ключевые нормативные ориентиры:

152-ФЗ «О персональных данных» Если в ИИ-сервисы могут передаваться персональные данные, необходимо учитывать: требования к законности обработки ПДн, ограничения и порядок трансграничной передачи, обязанности оператора по обеспечению безопасности ПДн.

С 1 марта 2026 года вступает в силу приказ ФСТЭК России №117, который обновляет требования к защите информации в ГИС. В числе прочего документ учитывает современные технологии — виртуализацию, облачные среды, API и использование технологий ИИ в инфраструктуре. При этом документ не предписывает прямой блокировки ИИ-сервисов, но требует обеспечения контроля и защиты информации при их использовании. Для объектов критической информационной инфраструктуры и иных регулируемых отраслей применяются дополнительные требования по контролю сетевого взаимодействия и предотвращению утечек данных.

Если пользователь загружает в ИИ-сервис не текст, а скриншот (изображение с текстом) и просит модель преобразовать его в текст — сможет ли Solar webProxy отфильтровать такую передачу данных?

Анализ содержимого изображений возможен при совместном использовании Solar webProxy с DLP-системой, оснащённой функцией OCR (распознавания текста). В этом случае текст, извлечённый из изображения, может быть проанализирован по заданным политикам безопасности. Без применения OCR-контроля анализ графического содержимого на уровне SWG ограничен.

Если ИИ-модель развернута внутри контура компании (self-hosted LLM), может ли Solar webProxy контролировать взаимодействие пользователей с такой моделью?

Solar webProxy разворачивается в инфраструктуре заказчика (on-premise), однако контроль ИИ-сервисов осуществляется на уровне анализа веб-трафика.

Если речь идёт о self-hosted LLM внутри контура компании, то контроль возможен при условии, что взаимодействие с моделью осуществляется по HTTP(S) и проходит через webProxy. Если же модель развёрнута внутри периметра и трафик к ней не проходит через webProxy, то для её контроля требуется отдельная архитектурная проработка.

Чем контроль ИИ через SWG отличается от обычной DNS-блокировки?

DNS-блокировка — это грубый запрет по домену. SWG — это полноценный контроль ИИ-трафика: видимость обращений к LLM, контроль API, загрузки файлов, содержимого запросов и ответов, защита от фишинговых AI-страниц и применение гибких политик “разрешить / ограничить / запретить”.